La Ley General de Protección de Datos (LGPD) fue aprobada en 2018 y sancionada en septiembre de 2020.
Las empresas que no implementen la LGPD para el comienzo del segundo semestre de 2021 estarán sujetas a las sanciones previstas en la ley.
Nunca antes en la historia hemos tenido tanta capacidad para capturar, almacenar y procesar datos. Esto ha permitido que empresas de todos los segmentos y tamaños tengan acceso a herramientas de gestión de alta precisión.
En los próximos años, con el desarrollo de la Inteligencia Artificial y el Internet de las Cosas, se espera que este escenario se profundice aún más.
Sin embargo, los escándalos sobre el uso de datos personales por parte de algunas gigantes tecnológicas apuntan a la necesidad de una mayor transparencia y regulación en su uso.
En consecuencia, hemos visto que la legislación sobre este tema específico está surgiendo en todo el mundo.
La LGPD brasileña se inspiró en la legislación de la Unión Europea sobre el tema, la principal referencia en las leyes actuales de protección de datos, y complementa nuestro importante Marco Civil de Internet, que entre otros avances garantizó la neutralidad de la red en nuestro territorio.
Ley General de Protección de Datos: ¿Qué Empresas Necesitan Cumplir?
El primer aspecto a entender sobre la Ley General de Protección de Datos es qué empresas necesitan cumplir con la ley e implementarla.
La respuesta es: todas aquellas que realicen algún procesamiento de datos, independientemente del tamaño o área de actividad.
Para dejarlo más claro:
Si en tu negocio utilizas un sistema CRM donde registras a tus clientes, almacenando y usando estos datos para acciones posteriores, ya estás dentro del alcance de la ley.
Es decir, debes buscar comprender su funcionamiento para evitar sufrir las sanciones previstas para aquellos que no cumplen con la LGPD.
Para las organizaciones que ya tienen departamentos de tecnología de la información bien estructurados y profesionales calificados en gestión de seguridad de la información, es probable que la adaptación sea simple y no muy laboriosa.
Sin embargo, vale la pena recordar que hoy muchas empresas más pequeñas y profesionales liberales ya utilizan datos personales en su vida diaria sin prestar atención al tema de la seguridad.
En muchos casos, esto ocurre por ignorancia o falta de comprensión de la importancia de estas medidas.
Por lo tanto, para que la LGPD se afirme en Brasil, la información es esencial.
¡Conoce las principales reglas de la nueva Ley General de Protección de Datos a continuación!
Sobre todo, ¡para que puedas implementarla con éxito en tu empresa!
Entendiendo las Principales Reglas de la LGPD
1- Propósito y consentimiento
Uno de los principales objetivos buscados con la Ley General de Protección de Datos es garantizar una mayor transparencia en el uso de datos personales por parte de las organizaciones, ya sean privadas o públicas.
De esta manera, el Principio de Propósito es la primera regla de la legislación.
La regla establece que los sujetos de datos siempre deben ser informados para qué propósito se utilizarán sus datos. Este propósito informado no puede cambiarse.
Por lo tanto, la recolección de datos debe cumplir con diez requisitos para la captura y procesamiento de datos. Entre ellos se encuentra el consentimiento para su uso.
Si la organización tiene la intención de cambiar el propósito del uso de datos, debe informar y solicitar nuevo consentimiento a los sujetos de datos.
2- Datos Personales Sensibles
Se entiende por datos personales aquellos que identifican a una persona natural. Tales como:
nombre,
CPF (Número de Identificación Fiscal brasileño),
edad,
género,
estado de salud,
entre otros.
La LGPD, sin embargo, también trae el concepto de datos personales sensibles.
Los datos personales sensibles son aquellos como:
Afiliación política;
Creencia religiosa;
Raza;
Orientación sexual;
Datos de salud;
Datos biométricos.
Este tipo de información se trata con mayor rigor por parte de la ley.
Y, para su uso y procesamiento, es necesario cumplir con una serie de obligaciones que son más extensas en comparación con los datos comunes.
Por ejemplo, elaborar reglamentos y prohibir la salida de datos para su procesamiento.
La Ley General de Protección de Datos también incluye reglas para la disposición de estos datos después del procesamiento.
Finalmente, solo es posible que las organizaciones utilicen los datos sensibles necesarios para un fin específico.
3- Controlador, oficial y operador
La Ley General de Protección de Datos establece tres nuevas figuras:
Controlador de datos;
Oficial de datos;
Operador de datos.
3.1- Controlador de datos: es responsable del uso de datos en la institución, controlando la forma en que se utilizan.
3.2- Oficial de datos: es responsable de la comunicación con el sujeto de datos. Esta figura debe tener el registro de uso de datos y transmitir la información cuando sea solicitada.
3.3- Operador de datos: es responsable del procesamiento efectivo de los datos.
Estas figuras son esenciales en la implementación de la LGPD. Por lo tanto, deben operar los aspectos burocráticos previstos en la ley.
Por ejemplo:
establecer el proceso para atender a los sujetos de datos,
matriz de riesgo de privacidad,
establecer un plan de contingencia de incidentes de privacidad,
entre otros.
La legislación también establece la Agencia Nacional de Protección de Datos (ANPD), responsable de supervisar la aplicación de la ley e imponer sanciones.
4- Seguridad, confidencialidad y gobernanza
Según la nueva ley de datos, la ANPD es responsable de establecer los niveles mínimos de seguridad y confidencialidad que deben cumplir las empresas privadas y los organismos públicos.
Vale la pena recordar que la LGPD ya prohíbe expresamente la transferencia y venta de datos.
Quienes no cumplan con los niveles de seguridad requeridos estarán sujetos a una multa que puede llegar al 2% de los ingresos de la empresa. El monto estará limitado a R$ 50 millones.
Además de la multa, la ley prevé una serie de hipótesis de responsabilidad cuando los datos no están adecuadamente protegidos.
Para evitar riesgos, es importante invertir en medidas y prácticas de seguridad de la información.
5- Privacidad desde el diseño
Otra regla que merece atención es la que establece la Privacidad desde el Diseño.
Esto requiere que cada producto en línea u offline que involucre el uso de datos personales y sensibles utilice la metodología de privacidad desde su concepción.
La LGPD establece una serie de pasos y documentos para orientar la planificación de tu producto o servicio. Así como supervisar su ejecución mientras se pone a disposición.
La privacidad debe guiar todos los proyectos internos. Y cuando las soluciones se entregan al mercado, también deben contener configuraciones de privacidad para ofrecer la mejor seguridad a los usuarios.
Paso a Paso LGPD: adaptando tu empresa a la Ley General de Protección de Datos
Con estas cinco reglas básicas en mente, es posible comenzar la implementación de la LGPD en tu organización.
Para ello, puedes seguir un proceso simple pero efectivo paso a paso. ¡Échale un vistazo!
Análisis del Escenario
El punto de partida no podría ser otro que el análisis del escenario de tu empresa.
Hay organizaciones que necesitan hacer poco para cumplir con la nueva ley. Por otro lado, algunas empresas tienen mucho trabajo por delante.
En qué de estos escenarios se ajusta tu empresa es una pregunta que solo se puede responder después de un análisis cuidadoso de los datos.
Además, es esencial analizar la tecnología de la información utilizada en tu negocio.
En este momento, tener un experto digital marca la diferencia. Este profesional podrá hacer un mapeo acertado de tu negocio para guiar las acciones de adaptación.
Definición del operador de datos
Es posible que tu empresa tenga más de un operador de datos.
Un servicio de almacenamiento en la nube, por ejemplo, encaja en esta categoría, al igual que un científico de datos contratado.
Es muy importante reforzar que los operadores de datos también deben obedecer la legislación. Y, pueden ser legalmente responsables. Ya sea conjunta o incluso totalmente si procesan datos ilegalmente sin una orden directa del controlador.
Siempre busca profesionales y empresas de reputación y evita dolores de cabeza y pérdidas.
Plan de seguridad de la información
Después de entender el escenario de tu empresa y definir los operadores de datos, es el momento de establecer un programa de privacidad de datos.
En este programa, deben incluirse medidas técnicas y administrativas para garantizar la seguridad de la información, evitando las sanciones previstas en la ley.
Programa de gobierno de privacidad
Finalmente, tu empresa debe establecer un programa de gobierno de privacidad, donde definirá buenas prácticas en el uso de datos personales.
En este momento, deben definirse:
procedimientos,
régimen operativo,
normas de seguridad,
normas técnicas,
acciones educativas
y organismos de control y seguimiento.
El programa de gobierno es el cerebro y el corazón del cumplimiento de la LGPD.
Es él quien definirá las prácticas para garantizar que todo el procesamiento de datos personales esté de acuerdo con las bases legales.
¡No esperes más! ¡Comienza a implementar la LGPD en tu empresa hoy!
La Ley General de Protección de Datos es un avance en términos de transparencia en el uso de datos.
Sobre todo, con respeto a la privacidad de los usuarios, es esencial que todos adopten la nueva legislación y garanticen su cumplimiento.
Por lo tanto, es muy importante enfatizar que las empresas tienen hasta el comienzo del segundo semestre de 2021 para cumplir con la legislación.
Quienes no implementen la LGPD antes de la fecha límite estarán sujetos a fuertes multas y sanciones.
¡No corras riesgos! Comienza ahora a tomar las medidas que permitan que tu negocio se organice para cumplir con la Ley General de Protección de Datos.
Para obtener más información sobre seguridad de la información y formas de proteger tu empresa de los ciberataques, ¡sigue nuestras páginas en redes sociales y sigue leyendo nuestro blog!
¡Hasta la próxima vez!